nicht angemeldet
Sicherheit??
Hallo Forum,
hier ist ein Zitat aus Selfhtml/Linkverzeichnis/CGI und Perl:
".... tritt in der Regel die CGI-Schnittstelle auf den Plan. Das ist eine Einrichtung, die in der Spezifikation zum HTTP-Protokoll verankert ist, und die von allen Web-Server-Produkten unterstützt wird."
Kann mir bitte jemand erklären, warum teils auch große Provider (z.B. T-ONLINE) es ablehnen, "aus Sicherheitsgründen" CGI zu unterstützen? Wenn dadurch beispielsweise ein Counter auf einem anderen Rechner geführt werden muss, wird HTML dadurch ja auch nicht schneller.
Vielleicht denke ich einfach zu harmlos? Auf jeden Fall: Danke für die Auskunft!
Frank Büchel
-
Hallo,
Kann mir bitte jemand erklären, warum teils auch große Provider (z.B. T-ONLINE) es ablehnen, "aus Sicherheitsgründen" CGI zu unterstützen?
Klar, man kann sichere CGI-Scripts schreiben aber dabei ist viel zubeachten, allerdings wissen die wenigsten Amateure was (manchmal nicht mal die Profis). Darum erlauben viele Provider CGI nicht, oder nur gegen hohe Bezahlung. Die Sicherheitsprobleme die auftreten können, können soweit gehen das der "Hacker" sogar Befehle auf dem Server ausführen kann oder die Paßwörter erschleichen kann und so Zugriff zum Server erlangt.
Wenn dadurch beispielsweise ein Counter auf einem anderen Rechner geführt werden muss, wird HTML dadurch ja auch nicht schneller.
»»
versteh nicht was du meinst
Vielleicht denke ich einfach zu harmlos? Auf jeden Fall: Danke für die Auskunft!
wahrscheinlich
m.f.g.
Jonas Harth
-
-
Kann mir bitte jemand erklären, warum teils auch große Provider (z.B. T-ONLINE) es ablehnen, "aus Sicherheitsgründen" CGI zu unterstützen?
Weil sie zig neue Server kaufen muessten, wenn 5Mio Seiten ploetzlich CGI verwenden. Das ist teuer. Und deswegen darfst du aus "Sicherheitsgruenden" keine benutzen. Bezahle was, dann kriegst du auch CGI.
MfG
Thomas -
Hallo Forum,
hier ist ein Zitat aus Selfhtml/Linkverzeichnis/CGI und Perl:
".... tritt in der Regel die CGI-Schnittstelle auf den Plan. Das ist eine Einrichtung, die in der Spezifikation zum HTTP-Protokoll verankert ist, und die von allen Web-Server-Produkten unterstützt wird."Kann mir bitte jemand erklären, warum teils auch große Provider (z.B. T-ONLINE) es ablehnen, "aus Sicherheitsgründen" CGI zu unterstützen? Wenn dadurch beispielsweise ein Counter auf einem anderen Rechner geführt werden muss, wird HTML dadurch ja auch nicht schneller.
Vielleicht denke ich einfach zu harmlos? Auf jeden Fall: Danke für die Auskunft!
Naja, das hat mehere Gründe:
1. CGI verbraucht massig Rechenzeit. Für jeden CGI-Aufruf muß normalerweise ein neuer Prozess erzeugt werden. Es gibt zwar nen paar Alternativen, aber die sind nicht zu weit verbreitet.
2. CGI hat normalerweise sehr weitreichende Zugriffsrechte auf einem Server. Das sieht zwar durch das hinzufügen von ein paar Features wie Changeroot oder speziellen Kerneln etwas anders aus, doch kann meinst ein CGI-Programm die verfügbarkeit eines Server stark beeinträchtigen.
3. CGI-Programm haben oft die Möglichkeit, Konfigurationen von einem Server zu lesen, und können damit Informationen nach außen dringen lassen, die der Administrator lieber für sich behalten würde.
4. CGI-Programme sind meist nicht all zu sicher geschrieben. Gab mal nen schönen Artikel dazu in Phrack oder auf dem letzten CCC-Congress. Damit macht man es Angreifern oft sehr einfach, in einen Rechner einzudringen.
Das sind so die Hauptgründe, wieso viele Provider CGI nicht anbieten. Wer eine Homepage bei seinem Dial-Up-Provider hostet, hat meist noch nicht all zu viel Ahnung von CGI, und kann so einem Angreifer leicht eine Tür öffnen, oder die Verfügbarkeit des Servers beeinträchtigen.